La adopción acelerada de herramientas de inteligencia artificial generativa dentro de las empresas está generando un nuevo reto para las áreas de ciberseguridad.
A este fenómeno se le conoce como Shadow AI, es decir, el uso de aplicaciones de inteligencia artificial no autorizadas o no supervisadas por las organizaciones.
¿Cómo funciona el Shadow AI?
Durante la conferencia "Shadow AI, la amenaza invisible dentro de las empresas", presentada por Alejandro Vergara, AI orchestration manager en Iqsec, y Adrián Galindo, cibersecurity senior director en Hitachi, se advirtió que cada vez más empleados recurren a plataformas de inteligencia artificial para agilizar su trabajo sin considerar los riesgos asociados al manejo de información sensible.
De acuerdo con datos del estudio de Data Breach Investigations Report de 2026, el 67 por ciento de los usuarios de inteligencia artificial generativa en entornos corporativos utiliza cuentas personales o servicios no administrados por sus empresas para realizar actividades laborales.
Asimismo, se señaló que la IA se esta poniendo a disponibilidad del público de manera muy fácil, lo cual ha incrementando la gravedad de la situación.
Esto se debe a que ahora es muy fácil que un usuario sin conocimiento técnico puede tener acceso a estas herramientas, la cuales si no se manejan de manera adecuada pueden ser peligrosas por el hecho de meter datos sensibles y confidenciales con el fin de sacar el trabajo más rápido.
¿Cómo surge el Shadow AI?
Uno de los principales riesgos del Shadow AI es que suele pasar desapercibido dentro de las organizaciones.
Durante la reunión se puso como ejemplo el caso de un colaborador que utiliza una plataforma de inteligencia artificial pública para elaborar una presentación con datos que le fueron proporcionados por su empresa.
Galindo explicó que durante ese proceso pudieron haberse compartido datos internos, reportes financieros, información de clientes o estrategias comerciales sin ningún tipo de supervisión.
“En ese momento ya tenemos Shadow AI. Nadie dijo que era inteligencia artificial, nadie lo mencionó, nadie se enteró, pero ya se fueron datos que podrían ser sensibles", señaló Galindo.
A diferencia de otros procesos tecnológicos que históricamente fueron impulsados desde las áreas directivas, el Shadow AI suele surgir desde los propios trabajadores.
Por otro lado, se explicó que anteriormente las empresas implementaban nuevas herramientas mediante instrucciones formales y procesos controlados.
Sin embargo, con la inteligencia artificial ocurre lo contrario, ya que los empleados descubren aplicaciones que les permiten resumir documentos, generar reportes, redactar correos o crear presentaciones en cuestión de minutos y comienzan a utilizarlas por iniciativa propia.
Este fenómeno, dificulta que las organizaciones tengan visibilidad sobre qué herramientas están siendo utilizadas y para qué fines.
Asimismo se destacó que el riesgo no se limita a ChatGPT, puesto que actualmente existen asistentes virtuales, agentes autónomos, generadores de imágenes, plataformas de video, sistemas de análisis de datos y cientos de aplicaciones que incorporan inteligencia artificial.
Además, la evolución tecnológica está ocurriendo a una velocidad que dificulta a las organizaciones mantenerse actualizadas. No obstante, se subrayó que bloquear una sola herramienta no elimina el problema.
También se comentó que muchas organizaciones enfrentan una contradicción, mientras los directivos impulsan el uso de IA para mejorar la productividad, las áreas de seguridad intentan limitar riesgos.
Ante este escenario Galindo recomendó construir estrategias basadas en generar visibilidad sobre las herramientas que utilizan los colaboradores, establecer políticas claras que definan qué aplicaciones pueden utilizarse y qué tipo de información puede compartirse en ellas e implementar controles tecnológicos que permitan monitorear el uso de estas plataformas y detectar posibles riesgos.
Más que eliminar el Shadow AI, los especialistas consideran que el verdadero reto consiste en desarrollar mecanismos de gobernanza que permitan aprovechar los beneficios de la inteligencia artificial sin comprometer la seguridad de la información.
Finalmente, recomendaron que las organizaciones comiencen a identificar qué herramientas ya están siendo utilizadas, clasificar los riesgos asociados y definir marcos de referencia que orienten su adopción.
KL